我不太确定这是否可行,但是我需要强制某个安全组的用户使其密码过期,以便在下次login时强制更改密码。 原因是因为我将FGPP(密码策略)应用于这个特定的组,以执行强密码。 那么,许多用户的密码真的很脆弱,除非被迫,否则不会被改变。
有没有办法做到这一点,而不强迫每个人都只有一个密码?
您可以在Powershell和Set-ADUser中执行此操作。 将ChangepasswordatLogon标志更改为True。
会看起来像这样:
Get-ADuser -Filter {memberof -RecursiveMatch "DN of Security Group"} | Set-ADuser -ChangePasswordatLogon:$true 如果你喜欢vbscript,即使为什么不使用Powershell:search“vbscript设置AD密码过期”产生了这篇文章: 如何导致用户的密码过期?
我没有亲自testing过。 示例VBScript代码是:
Set objUser = GetObject("LDAP://CN=myerken,OU=Finance,DC=Fabrikam,DC=com") objUser.pwdLastSet = 0 objUser.SetInfo
您可以将其与其他代码结合使用,从安全组中获取列表用户(使用LDAP查询中的安全组CN =),并通过应用此密码到期循环。 这是通过search“vbscript getobject安全组”find的一个很好的例子: 使用VbScript获取特定AD组中的所有用户
这是一个命令提示符选项:
for /f "delims=" %a in ('dsquery group -name "<INSERT_GROUP_NAME_HERE>" ^| dsget group -members -expand') do ( dsmod user %a -mustchpwd yes )